Protokolle

AH

Authentication Header

Der Authentication Header (AH) soll die Authentizität und Integrität der übertragenen Pakete sicherstellen und den Sender authentisieren.

ISAKMP

Internet Security Association and Key Management Protocol

IPsec

Internet Protocol security

IKE

Internet Key Exchange

Modes

Main Mode

Der Main Mode (dem Aggressive Mode vorzuziehen) wird in der ersten Phase der Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange) genutzt. Hierbei handeln der Initiator (derjenige, der die Verbindung aufnehmen will) und der Antwortende (der Responder) miteinander eine ISAKMP-SA aus. Diese „Verhandlung“ geschieht in folgenden Schritten:

Phase 1

1. Der Initiator sendet einen Vorschlag (zur Not auch mehrere) mit Authentisierungs- und Verschlüsselungsalgorithmen.
2. Der Responder wählt aus der Schnittmenge der angebotenen und der von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Initiator.
3. Der Initiator sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert (die Nonce).
4. Der Responder sendet ebenfalls seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert. Dieser Wert dient in Schritt 5 der Authentisierung.

Security Association

Eine Security Association (SA) ist eine Vereinbarung zwischen den beiden kommunizierenden Seiten und besteht aus den Punkten:

• Identifikation (entweder per PSK oder Zertifikat)
• Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung
• von welchem (IP-) Netz die IPsec-Verbindung erfolgt
• zu welchem (IP-) Netz die Verbindung bestehen soll
• Zeiträume, in denen eine erneute Authentisierung erforderlich ist
• Zeitraum, nach dem der IPsec-Schlüssel erneuert werden muss

Im Prinzip das was in /etc/ipsec.conf angegeben wird

Security Policy

Wireshark-VPN-traffic